快訊

批北京挑釁 布林肯:一中政策不變、不支持台獨

《零時差攻擊》當有攻擊者要入侵你的電腦,不管你裝了什麼樣的防毒軟體都沒用?

書名:《零時差攻擊:一秒癱瘓世界!》 
作者:妮可·柏勒斯 (Nicole Perlroth) 
出版社:麥田出版/城邦文化 
出版時間:2021年10月02日
書名:《零時差攻擊:一秒癱瘓世界!》
作者:妮可·柏勒斯 (Nicole Perlroth)
出版社:麥田出版/城邦文化
出版時間:2021年10月02日

資安攻防的兩個零—零時差與零信任

文/吳其勳(iThome總編輯、臺灣資安大會主席)

十年前我採訪資安新聞時,曾有一位白帽駭客專家對我說:「如果攻擊者真要入侵你的電腦,不管你裝了什麼樣的防毒軟體都沒有用,裝了等於沒裝。」

我原以為這只是他藉機嘲諷防毒軟體廠商的一句玩笑話,畢竟當時一般個人電腦的資安防護,主要就是靠防毒軟體過濾電腦病毒,以避免電腦中毒。所以我很納悶地問:「裝了防毒軟體也無效!難道可以不採取任何防護措施嗎?」

這位白帽駭客進一步說道:「如果中國網軍鎖定要入侵你的電腦,他們會利用世人都還不知道的軟體漏洞,開發出連防毒軟體都無法辨識的新型攻擊程式,直接就穿越防毒軟體,堂而皇之的入侵電腦。」

後來我才逐漸理解,他的本意並非要我解除防毒軟體,而是提醒零時差漏洞這種資安威脅的存在與其嚴重性。

(圖/Pexels)
(圖/Pexels)

●什麼是零時差漏洞?

所謂的零時差漏洞,是指軟體存在可被利用的安全漏洞,然而多數人、包括該軟體開發者與供應商卻對漏洞的存在一無所悉。從零時差漏洞的生命週期來看,一開始軟體開發者寫好了程式,而程式碼存在一些錯誤(這其實是尋常的事);然而這些錯誤並不影響程式運作,因此連程式開發者自己都未察覺,可想而知,使用者更不會知道這些漏洞的存在。

但是,可能在某一天,這個軟體錯誤被人發現了,心存善意的發現者,會通知軟體開發者,以提供使用者修補更新程式。但若是遇到心懷不軌的人,例如別有居心的網軍、黑帽駭客或網路犯罪組織,他們就可能投入研究該漏洞是否有機可乘,一旦發現利用價值很高,例如可藉此入侵大多數人使用的微軟視窗作業系統或蘋果iOS作業系統,駭客便會進一步設計攻擊程式,利用這個漏洞入侵電腦。而只要這個漏洞尚未曝光,網路攻擊便能持續進行,這就是零時差漏洞

●恐將引發戰爭的核彈級武器

駭客擁有零時差漏洞就可以神不知鬼不覺地進出電腦,控制被駭的電腦,可能長期潛伏在電腦裏監聽使用者的一舉一動、持續竊取電腦裏的機密資料,或是挾持電腦作為發動其它攻擊的傀儡工具,甚至是綁架檔案進行勒索,或摧毀整臺電腦的檔案。而這一切攻擊,都要等到有人也發現了這個程式漏洞,提報給軟體開發者,待修補程式釋出後,針對這個漏洞的攻擊才會失效。然而若使用者不予理會或不知道要安裝修補程式,那麼駭客的攻擊仍然會繼續得逞。

隨著最近幾年資安攻擊事件層出不窮,攻擊手法也日益詭譎多變,我才逐漸理解十年前這位白帽駭客沒有直接點明的事:利用軟體漏洞可以發展出網路武器,而網路武器庫裏的核彈級武器,就是零時差漏洞。

(圖/Pexels)
(圖/Pexels)

網路戰爭的型態有別於傳統戰爭,傳統戰爭的攻擊武器主要是破壞實體,但網路攻擊武器卻是利用軟體漏洞入侵與控制電腦,進而控制與破壞仰賴電腦運作的設備與系統。現今我們生活周遭,從食衣住行育樂到國防軍事,從宇宙的衛星太空船到人手一機的智慧型手機,無一不是依靠晶片、軟體與網路在運行,而這些都是網路武器可以悄然無聲攻擊的目標。近年來,天天目睹網路攻擊與地下漏洞交易的資安專家,紛紛敲響警鐘:網路戰爭即將觸發第三次世界大戰。然而就如同我過往的經驗一樣,當我們每天尚能如常上網、聊天、追劇,未曾親身感受到網路攻擊的威脅,其實很難想像零時差漏洞會對未來的生活造成多大的影響。

值此之際,《零時差攻擊》一書的問世,以第一手調查報導揭露零時差漏洞的地下經濟,帶我們正視零時差攻擊可能對世界造成不可逆轉的衝擊,就顯得格外重要。

●遵奉零信任原則

紐約時報資深資安記者妮可.柏勒斯懷著她對零時差漏洞的好奇,發揮記者追查真相的天性,以長達七年的時間追蹤零時差漏洞市場。期間她採訪超過三百位專家學者、駭客、零時差漏洞掮客與國安官員等,更走遍全世界好幾個國家,一點一滴挖掘出原本難以窺視的零時差地下經濟,不僅讓世人得以一窺神祕的零時差漏洞市場,更帶領讀者探究許多國家為了掌握網路戰場的致勝優勢,而不惜斥資收購與儲備零時差漏洞的現象。這種種作為到底真正保障了國家安全,還是反而助長零時差攻擊走向更偏激的道路?

此外,本書內容的驚悚程度,絕對有助於喚醒大眾對於零時差漏洞日漸失控的警覺,然而驚嚇之餘不免感嘆,難道我們的未來只能任由零時差攻擊擺布嗎?

借鏡此刻全球對抗COVID-19的經驗,會發現零時差漏洞與新冠病毒有其共通之處。在疫苗與治療藥物尚未問世前,COVID-19如同人類的零時差病毒,那麼當時為何臺灣能夠成功抵禦病毒入侵呢?其中一個重要關鍵,就是持續落實勤洗手、戴口罩、保持社交距離,設下一道道防線。這樣的防疫觀念其實與資安業界近來積極推動的零信任(Zero Trust)理念「絕不信任,一律驗證」不謀而合。零信任資安不預設信任,針對每個用戶、每個裝置的每一次行為,唯有經過驗證,才賦予適當權限。透過縮小信任空間、增加驗證頻率,以及適時適當的授權。若我們逐步落實零信任的精神,或許就可以逐漸削弱零時差攻擊的火力,有朝一日成功抑制零時差漏洞。

資安一直被視為專業技術領域,資安書籍也往往因為技術名詞令大眾卻步。本書作者以淺顯易懂的文字與第一人稱敘述方式撰寫,雖然有些描述看在資安專家眼裏或許不夠精準,卻更能吸引一般大眾。本書將帶領讀者一步步深入不為人知的零時差市場,一頁頁揭開零時差 攻擊的神祕面紗,讓讀者宛如置身諜報電影,在不知不覺中親近資安議題,進而喚起其資安意識。

零時差攻擊作者照片|© Christian Högstedt
零時差攻擊作者照片|© Christian Högstedt

作者簡介

妮可·柏勒斯Nicole Perlroth

《紐約時報》網路安全線10年資深記者

美國財經編輯與記者協會頒發的最佳科技報導獎得主

現任《紐約時報》資深網路安全記者,曾獲美國財經編輯與記者協會頒發最佳科技報導獎。於普林斯頓大學從事政治與近東研究,並於史丹福大學取得新聞學碩士學位。目前亦是史丹福大學商學院的客座講師。

柏勒斯曾為《富比士》雜誌撰稿,二〇一一年加入《紐約時報》負責網路安全線,已致力深耕此領域超過十年,曾深度報導俄羅斯對美國核電廠、機場和選舉的網路攻擊,朝鮮對索尼影業、銀行和醫院的網路攻擊,伊朗對石油公司、銀行和美國總統選舉期間的攻擊以及數百起中國網路攻擊事件。

●本文收錄於麥田出版《零時差攻擊:一秒癱瘓世界!《紐約時報》記者追蹤7年、訪問逾300位關鍵人物,揭露21世紀數位軍火地下產業鏈的暗黑真相》推薦序。


資安 駭客 戰爭 麥田出版 閱讀風向球

延伸閱讀

破碎吧!資料。

高鐵高捷收網路炸彈恐嚇信疑有內情 朝資安事件調查

立陶宛警告小米手機資安風險 德國展開調查

老爸電腦遭駭「寫信裝可憐」殺價成功!竟還有駭後教學 網笑翻

相關新聞

金曲歌手阿爆新書《Ari帶著問號往前走》訴說3個女人的族語音樂三部曲

2020年,阿爆 Aljenljeng以《kinakaian 母親的舌頭》獲金曲獎年度專輯、最佳原住民語專輯以及年度歌曲等三大重要獎項,瞬間爆紅,成為眾人討論的焦點。大家都在問這個在混搭曲風中唱著排灣語的女孩是誰?以及,她為什麼能做得到? 一個從小愛唱歌的原民女孩,生長在原與漢、都市與部落場景的轉換之間,經歷各種元素的滋養與碰撞。長大後,人生的第一份工作,是夢想的職業歌手,但在毫無防備的時候,歌手之路戛然而止。之後,她是護士、喜劇演員、節目主持人……當她以為不會再與音樂發生關係時,音樂又選擇了她。 回顧阿爆的生命經歷,每一個階段恰巧都像沉浸、交錯、融合的實境秀,對她來說,人生的每一步都是選擇,沒有標準答案,人所能做的,就是往前走吧!

廖運潘/雨後天已晴—《茶金歲月》自序

天高し 北埔洋楼 雨後の晴れ 終於散去了,北埔洋樓的陰霾,秋日天高爽。 (北埔姜家歷經榮華、苦難,廖運潘以此俳句表達買回洋樓的莫大欣慰,並分享雨後必有晴天的人生體悟)

剖魚亦自剖!林楷倫《偽魚販指南》冷調幽默帶你親臨魚販現場

文/林楷倫《偽魚販指南》 〈身為魚販〉(節錄) ……每個週末,我顧起魚攤的蛤、蚵、魚,攤位上的魚我只認得白鯧、肉魚、吳郭魚。我問爸,爸叫我問阿公。 阿公拿起冷凍與現流的白鯧,教我看背上的藍色

檸檬、九層塔、芹菜是反黑食物?營養師教妳靠飲食美白防長斑

1.檸檬、香菜、九層塔等食物常被列為「美白黑名單」,營養師指出這是迷思。部分天然食物確有易引起曬紅或色素沉澱的光敏感物質,但一般飲食劑量難以達到皮膚傷害。 2.維生素C確實有美白的效用,可藉由天然蔬果補充,例如每天一顆拳頭大的芭樂就能滿足一天維生素C的需求。 3.針對抗老、防長斑,營養師推薦助於抗發炎抗氧化的地中海飲食:戒糖、多色足量蔬菜水果,全穀類、白肉類與ω-3好油脂。

白髮、樓梯、博愛座!《和小人物過一日生活》原來這些是「變老」的訊號

擅長觀察小人物生活的南亨到,在看見校園裡打掃阿姨被眾人漠視冷落的身影時,心有所感。那些遭人冷眼對待的人,究竟過著什麼樣的日子呢?本書《和小人物過一日生活》他以記者的身份,透過與被忽略的小眾或弱勢者生活

俄烏大戰早有端倪?「現代沙皇」普丁治下的真實俄羅斯

如果你想了解普丁治理下的俄羅斯,讀這本書。安娜.葛瑞兒深入探查俄國內陸地區,徵召面貌多元的真正俄國人加入陣容,展示普丁現象為何發生,他如何維繫支持度,以及他的掌權可能造成什麼威脅。 ─比爾.凱勒(Bill Keller),曾任《紐約時報》駐莫斯科主任

商品推薦

udn討論區

0 則留言
規範
  • 張貼文章或下標籤,不得有違法或侵害他人權益之言論,違者應自負法律責任。
  • 對於明知不實或過度情緒謾罵之言論,經網友檢舉或本網站發現,聯合新聞網有權逕予刪除文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
  • 對於無意義、與本文無關、明知不實、謾罵之標籤,聯合新聞網有權逕予刪除標籤、停權或解除會員資格。不同意上述規範者,請勿下標籤。
  • 凡「暱稱」涉及謾罵、髒話穢言、侵害他人權利,聯合新聞網有權逕予刪除發言文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。